◇◇新语丝(www.xys.org)(xys7.dxiong.com)(xys.ebookdiy.com)(xys2.dropin.org)◇◇

　　关于工信部360安全浏览器测评报告的公开声明

　　作者：独立调查员

　　360通过中国网发布公关新闻稿《权威测评机构报告：360浏览器安全可靠》
称，“据最新消息，两家权威评测机构——中国信息安全测评中心、工信部下属
中国软件评测中心对360安全浏览器的安全性能分别发布评测报告。……360浏览
器是全球首款通过国家标准安全评测的浏览器，这也意味着近期关于360浏览器
‘是否安全’的争议终于有了权威结论。”

　　新闻稿链接：
http://news.china.com.cn/live/2012-11/22/content_17295382.htm

　　目前暂未见测评报告全文。

　　360方面正以此为依据，大力鼓吹360浏览器的安全性。

　　经查证核实有关信息，本人公开声明如下：

　　1、该测评报告并非360安全浏览器产品测评报告，只是其“登录管理模块
V1.2.0.1071”的测评报告。单一模块安全性不等于整个产品的安全性，这是常
识。

　　2、经核实，目前360安全浏览器登录管理模块
（\360se\Apps\LoginAssis\LoginAssis.dll）的最新版本是V1.0.8.1070，无法
确定其测评版本V1.2.0.1071来源于360安全浏览器的哪个版本。

　　3、EAL2是非常低的安全标准。依赖360云服务的登录管理模块是360安全浏
览器最敏感功能模块之一，工信部仅按几乎无法断言其安全性的EAL2标准测评、
并公开发表测评报告为360安全浏览器产品安全性背书，形同儿戏。

　　根据《信息技术安全标准性评估准则》
（http://www.docin.com/p-44813109.html），评估保证级共分7级（依次增
强），分别是：

　　EAL1：功能测试
　　EAL2：结构测试
　　EAL3：系统测试和检查
　　EAL4：系统设计、测试和复查
　　EAL5：半形式化设计和测试
　　EAL6：半形式化验证的设计和测试
　　EAL7：形式化验证的设计和测试
　　其中，评估保证级2（EAL2）适用于：在缺乏现成可用的完整的开发记录时，
开发者或用户需要一种低到中等级别的独立保证的安全性。这种情况可能出现在
对原有系统进行安全保护时或者访问开发者受到限制时。

　　4、360很早就公开声称送检360安全浏览器产品，公众期待工信部能尽快给
定心丸，但工信部下属所谓“权威机构”却与公众开了个天大的玩笑——仅以低
标准对一个不明来源的模块进行结构测试。本人对工信部表示严重谴责。

(XYS20121123)

◇◇新语丝(www.xys.org)(xys7.dxiong.com)(xys.ebookdiy.com)(xys2.dropin.org)◇◇